Bandit Stealer riktar sig till kryptoplånböcker

Cybersäkerhetsforskare har plockat isär en nyupptäckt smyg skadlig kod vid namn Bandit Stealer, som har förmågan att rikta in sig på ett brett utbud av webbläsare och plånböcker för kryptovaluta. Denna skadliga programvara har blivit känd på grund av dess användning av programmeringsspråket Go, vilket tyder på potentialen för plattformsoberoende kompatibilitet, som anges i en rapport från Trend Micro.

För närvarande fokuserar Bandit Stealer främst på Windows-system och använder ett legitimt kommandoradsverktyg som heter runas.exe. Detta verktyg gör det möjligt för användare att köra program under olika användarkonton med olika behörigheter. Genom att utnyttja detta verktyg syftar den skadliga programvaran till att eskalera privilegier och köra med administrativ åtkomst, effektivt undvika säkerhetsåtgärder och extrahera betydande mängder data.

Det är dock värt att notera att Microsoft har implementerat åtkomstkontrollbegränsningar för att förhindra obehörig exekvering av runas.exe. Att köra skadlig programvara binär som administratör kräver därför att du tillhandahåller lämpliga referenser.

Trend Micro utvecklar kommandot runas.exe och framhäver dess användbarhet för att köra kritiska applikationer eller utföra uppgifter på systemnivå under en administratör eller ett annat användarkonto med tillräckliga rättigheter. Detta blir särskilt värdefullt när det aktuella användarkontot saknar nödvändiga behörigheter för att utföra specifika kommandon eller program.

Bandit Stealer innehåller mekanismer för att upptäcka om den fungerar i en sandlåda eller virtuell miljö. Dessutom avslutar den en lista över svartlistade processer för att effektivt dölja dess närvaro på offersystemet. Innan de påbörjar sina datainsamlingsaktiviteter, som involverar insamling av personlig och finansiell information från webbläsare och kryptovaluta plånböcker, etablerar skadlig programvara persistens genom att modifiera Windows-registret.

Distributionsmetoder

Distributionen av Bandit Stealer sker genom nätfiske-e-postmeddelanden som innehåller en dropper-fil. Den här filen öppnar en till synes ofarlig Microsoft Word-bilaga som en distraktion samtidigt som den initierar infektionsprocessen i bakgrunden.

Trend Micro identifierade också en förfalskad Heart Sender-installerare, en tjänst som automatiserar sändningen av spam-e-post och SMS-meddelanden till flera mottagare. Det här installationsprogrammet fungerar som en vilseledande taktik som lurar användare att starta den inbäddade skadliga programvaran.

I en relativt ovanlig taktik uppnår skadlig programvara uthållighet genom att modifiera den installerade Discord-klienten, injicera JavaScript-kod som fångar information från applikationen.

En annan framväxande trend är användningen av komprometterade YouTube-kanaler med miljontals prenumeranter för att marknadsföra knäckt programvara, vilket resulterar i dataintrång. Dessa stulna data kan utnyttjas av gärningsmännen för olika ändamål, såsom identitetsstöld, ekonomisk vinning, autentiseringsattacker och kontoövertaganden.